PCT/IB00/01157 



TRAITE DE COOPERATION EN MATIERE ^ BREVETS 



Expkliteur: le BUREAU INTERNATIONAL 



PCT 

NOTIFICATION D ELECTION 

(rSgle 61.2du PCT) 


Destinataire: 

Commissioner 

US Department of Commerce 
United States Patent and Trademark 
Office, PCT 

2011 South Clark Place Room 
CP2/5C24 

Arlington, VA 22202 
ETATS-UNIS D'AMERIQUE 

en sa qualite d'office elu 


Date d'expedrtion (jour/mois/annee) 

12juin2001 (12.06.01) 




Demande Internationale no 
PCT/IB00/01157 


Reference du dossier du deposant ou du mandataire 
B-14-312-PCT 


Date du depot international (jour/mo is/an nee) 
24 aout 2000 (24.08.00) 


Date de priorite (jour/mois/annee) 
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a la regie 32.2b). 



Bureau international de I'OMPI 


Fonctionnaire autoris6 


34, chemin des Colombettes 


Pascal Piriou 


1211 Geneve 20, Suisse 


no de telecopies: (41-22) 740.14.35 


no de telephone: (41-22) 338.83.38 



Formula ire PCT/IB/331 (juillet 1992) 



IB0001157 



lnis page Blank (uspto) 



Copie a I'intention de I'office elu (EO/US) PCT/IB00/01 1 57 

TRAITE COOPERATION EN MATIEFT^E BREVETS 



Expediteur: le BUREAU INTERNATIONAL 
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D'UN CHANGEMENT 
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(regie 92bis.l et 
instruction administrative 422 du PCT) 


Destinataire: 

WENGER, Joel 
Leman Consulting S.A. 

route ae uiementy 
CH-1260Nyon 
SUISSE 


Date d'expedrbon (jour/mois/annee) 
17 juillet 2001 (17.07.01) 


Reference du dossier du deposant ou du mandataire 
P-14-312-PCT 


NOTIFICATION IMPORTANTE 


Demande Internationale no 
PCT/IB00/01157 


Date du depot international (jour/mois/annee) 
24 aoOt 2000 (24.08.00) 



1. Les renseignements suivants etaient enregistres en ce qui concerne: 
[ [ le deposant j^J I'inventeur X le mandataire | | le repr6sentant commun 


Nom et adresse 

WENGER, Joel 
Griffes Consulting S.A. 
81, route de Florissant 
CH-1206 Geneve 
SUISSE 


Nationality (nom de I'Etat) 


Domicile (nom de I'Etat) 


no de telephone 
41 22 346 33 93 


no de tel6copieur 
41 22 347 30 11 


no de t6l6imprimeur 


2. Le Bureau international notifie au deposant que le changement indiqu6 ci-apres a 6te enregistr6 en ce qui concerne: 
| j la personne J le nom | X| I'adresse j^J la nationals p"J le domicile 


Nom et adresse 

WENGER, Joel 
Leman Consulting S.A. 
62 route de Clementy 
CH-1260Nyon 
SUISSE 


Nationalit6 (nom de I'Etat) 


Domicile (nom de I'Etat) 


no de telephone 
41 22 363 78 78 


no de t6lecopieur 

41 22 363 78 70 


no de t6leimprimeur 


3. Observations complementaires, le cas echeant: 




4. Une copie de cette notification a et6 envoyee: 
| X| a I'office r6cepteur | | aux offices designes concerned 
| J a ('administration chargee de la recherche Internationale | X | aux offices 6lus concerned 
| X| a I'administration charged de I'examen preliminaire international | | autre destinataire: 



Bureau international de I'OMPI 


Fonctionnaire autorise: 


34, chemin des Colombettes 


R. Chrem 


1211 Geneve 20, Suisse 


no de telecopies (41-22) 740.14.35 


no de telephone (41 -22) 338.83.38 
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IXE QE COOPERATION EN MATIERE DE BREVETS 



VERS ON 

NOTIFICATION DE L'ENREGISTREMENT 
D UN CHANGEMENT 

(regie 92bis.1 et 
instruction administrative 422 du PCT) 


Destinataire: 

LEMAN CONSULTING S.A. 
62 route de Clementy 
CH-1260 Nyon 
SUISSE 


Date d'expedition Go ur/mo is/an nee) 
21 septembre 2001 (21.09.01) 


Reference du dossier du d6posant ou du mandataire 
P-14-312-PCT 


NOTIFICATION IMPORTANTE 


Demande Internationale no 
PCT/IB00/01157 


Date du depot international (jour/mois/annee) 
24 aout 2000 (24.08.00) 



1. Les renseignements suivants etaient enregistres en ce qui concerne: 
| J led6posant | | I'inventeur | X| le mandataire | | le representant commun 


Norn etadresse 

WENGER, Joel 
Leman Consulting S.A. 
62 route de Clementy 
CH-1260 Nyon 
SUISSE 


Nationality (nom de I'Etat) 


Domicile (nom de I'Etat) 


no det6l6phone 
41 22 346 33 93 


no det6l6copieur 
41 22 347 30 1 1 


no det6l6imprimeur 


2. Le Bureau international notifie au deposant que le changement indique < 
| X| la personne [ "| le nom j"j I'adresse [ 


;i-apres a 6t6 enregistr6 en ce qui concerne: 
j la nationality [ j le domicile 


Nom et adresse 

LEMAN CONSULTING S.A. 
62 route de Clementy 
CH-1260 Nyon 
SUISSE 


Nationality (nom de I'Etat) 


Domicile (nom de I'Etat) 


no de telephone 
41 22 363 78 78 


node tel6copieur 

41 22 363 78 70 ; 


no de t6!6imprimeur 


3. Observations complementaires, le cas 6cheant: 


4. Une copie de cette notification a 6te envoyee: 
| X| a I'office r6cepteur | | aux offices design^s concerned 
| | a ('administration charg6e de la recherche international | X| aux offices 6lus concernes 
| X | d Tadministration charged de I'examen prSliminaire international | | autre destinataire: 





Bureau international de I'OMPI 
34, chemin des Colombettes 
121 1 Geneve 20, Suisse 

no de telecopies (41-22) 740.14.35 


Fonctionnaire autoris6: 

R. Chrem 
no de t6!6phone (41-22) 338.83.38 
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TRAITE HfcCOOPERATION EN MATI 



>E BREVETS 



PCT 

RAPPORT D'EXAMEN PRELIMINAIRE I NT tRWSTI OMMT 
(article 36 et regie 70 du PCT) 




Reference du dossier du deposant ou du 

mandataire 

B-14-312-PCT 


voir la notification de transmission du rapport d'examen 
POUR SUITE A DONNER preliminaire international (formulaire PCT/IPEA/416) 


Demande intemationale n° 
PCT/IB00/01157 


Date du depot international (jour/mois/ann6e) 
24/08/2000 


Date de priorite (jour/mois/ann6e) 
30/08/1999 


Classification intemationale des brevets (CIB) ou a la fois classification nationaie et GIB 
H04L9/00 


Deposant 

NAGRACARD SA et al. 



1. Le present rapport d'examen preliminaire international, etabli par radministaration chargee de I'examen preliminaire 
international, est transmis au deposant conformSment a Tarticle 36. 

2. Ce RAPPORT comprend 5 feuilles, y compris la presente feuille de couverture. 

□ II est accompagne d'ANNEXES, c'est-a-dire de feuilles de la description, des revendications ou des dessins qui ont 
ete modifies et qui servent de base au present rapport ou de feuilles contenant des rectifications faites aupres de 
('administration chargee de I'examen preliminaire international (voir la regie 70.16 et Instruction 607 des Instructions 
administratives du PCT). 

Ces annexes comprennent feuilles. 



3. Le present rapport contient des indications relatives aux points suivants: 
I ^ Base du rapport 



Absence de formulation d'opinion quant a la nouveaut6, I'activite inventive et la possibility 
d'application industrielle 



d'applicatton industrielle; citations et explications a I'appui de cette declaration 

Certains documents cites 

Irr^gularites dans la demande intemationale 



II 


□ 


III 


□ 


IV 


□ 


V 




VI 


□ 


VII 


SI 


VIII 





Date de presentation de la demande d'examen preliminaire 
Internationale 

17/03/2001 



Date d'achevement du present rapport 

< ■_ 

07.12.2001* 



Nom et adresse postale de Tadministration chargee de 
I'examen preliminaire international: 
Office europeen des brevets 

D-80298 Munich 
Tel. +49 89 2399 - 0 Tx: 523656 epmu d 

Fax: +49 89 2399 - 4465 



Fonctionnaire autorise 

Cretalne, P 

N° de telephone +49 89 2399 8828 



1 



Formulaire PCT/1PEA/409 (feuille de couverture) Ganvier 1994) 



m 



Page Blank (uspto) 





RAPPORT D EXAMEN 
PRELIMINAIRE INTERNATIONAL 



Demande Internationale n° PCT/I BOO/0 1 1 57 



I. Base du rapport 

1 . En ce qui concerne les elements de la demande intemationale (les feuilles de remplacement qui ont 6t6 remises 
& I'office rScepteur en r4ponse k une invitation faite conform6ment £ i'article 14 sont considerSes dans le present 
rapport comme "initiafement depos£es* et ne sont pas jointes en annexe au rapport puisqu'effes ne contiennent 
pas de modifications (regies 70. 16 et 70. 17)): 

Description, pages: 

1-9 version initiale 

Revendications, N°: 

1-10 version initiale 

Dessins, feuilles: 

1 /2-2/2 version initiale 

2. En ce qui concerne la langue, tous les 6l6ments indiqu6s ci-dessus etaient k la disposition de I'administration ou 
lui ont 6te remis dans la langue dans laquelle la demande intemationale a 6t6 d£pos£e, sauf indication contraire 
donnSe sous ce point. 

Ces elements etaient k la disposition de ['administration ou lui ont 6te remis dans la langue suivante: , qui est : 

□ la langue d'une traduction remise aux fins de la recherche intemationale (selon la regie 23.1 (b)). 

□ la langue de publication de la demande intemationale (selon la regie 48.3(b)). 

□ la langue de la traduction remise aux fins de Texamen preiiminaire intemationale (selon la regie 55.2 ou 



3. En ce qui concerne les sequences de nucleotides ou d'acide amines divulgu6es dans la demande 

intemationale (le cas echeant), I'examen preiiminaire intemationale a ete effectue sur la base du listage des 



□ contenu dans la demande intemationale, sous forme ecrite. 

□ depose avec la demande intemationale, sous forme d6chiffrable par ordinateur. 

□ remis ulterieurement k I'administration, sous forme ecrite. 

□ remis ulterieurement k I'administration, sous forme dechiffrable par ordinateur. 

□ La declaration, selon laquelle le listage des sequences par ferft et fourni ulterieuremenUie va pas au-del& 
de la divulgation faite dans la demande telle que deposee, a <5te fournie. 

□ La declaration, selon laquelle les informations enregistr£es sous dechiff rable par ordinateur sont identiques k 
celles du listages des sequences Presente par ecrit, a ete fournie. 

4. Les modifications ont entraine Tannulation : 



55.3). 



sequences : 
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□ de la description, pages : 

□ des revendications, n 03 : 

□ des dessins, feuilles : 

5. □ Le present rapport a ete formula abstraction faite (de certaines) des modifications, qui ont ete considers 
comme allant au-dete de I'expose de I'invention tel qu'il a 6t6 depose, comme il est indique ci-apr6s (regie 
70.2(c)) : 

(Toute feuille de remplacement comportant des modifications de cette nature doit etre indiqu4e au point 1 et 
annex4e au present rapport) 



6. Observations compiementaires, le cas ech6ant : 



V. Declaration motivee selon Particle 35(2) quant a la nouveaute, I'activite inventive et la possibility 
d'application industrielle; citations et explications a I'appui de cette declaration 

1. Declaration 

Nouveaut6 Oui : Revendications 1-10 

Non : Revendications 

Activite inventive Oui: Revendications 1-10 

Non : Revendications 

Possibility d'application industrielle Oui: Revendications 1-10 s 

Non : Revendications 



2. Citations et explications 
voir feuille separee 



VII. Irregularites dans la demande Internationale 

Les irregularites suivantes, concernant la forme ou le contenu de la demande internationale, ont ete constatees : 
voir feuille separee 



VIII. Observations relatives a la demande internationale 

Les observations suivantes sont faites au sujet de la clarte des revendications, de la description et des dessins 
et de la question de savoir si les revendications se fondent enticement sur la description : 
voir feuille separee 
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PRELIMINAIRE INTERNATIONAL - FEUILLE SEPAREE 



Concernant le point V 

Declaration motivee selon ['article 35(2) quant a la nouveaute. I'activite inventive 
et la possibility d'application industrielle: citations et explications a I'appui de 
cette declaration 

L'invention concerne une methode de cryptage et de decryptage utilisant plusieurs 
modules d'encryptage-decryptage en serie. 

Etat de la technique: 

US-A-5 594 797 decrit un tel systeme, dans lequel trois modules d'encryptage sont 
chames, un module en aval traitant les donnees encryptees par un module en amont 
apres traitement complet effectue par ce dernier. 



Les techniques d'attaque les plus recentes de type Differential Power Analysis 
permettent d'attaquer chaque module separement en etablissant les conditions 
d'entree ou de sortie de chaque module et en estimant la presence de 1 ou 0 dans une 
position donnee de la cle de chiffrement de chaque module. \ 



Conformement aux caracteristiques de la revendication 1, un module intermediate ne 
demarre pas ses calculs lorsque le resultat du module en amont a termine mais debute 
des qu'une partie seulement des informations sont disponibles pour etre traitees. II 
n'est ainsi pas possible pour un observateur exterieur d^tablir les conditions 
d'entree/sortie d'un module puisque les donnees de sorties d'un module ne sont plus 
disponibles dans leur ensemble. 

Aucun des autres documents cites dans le rapport de recherche ne divulgue ou 
suggere une telle procedure d'imbrication partielle des calculs de differents modules 
d'encryptage en cascade. La revendication 1 remplit done les conditions de J'article 33 
PCT. Les revendications 2 a, 10 dependent de la revendication 1 et satisfont done 
egalement, en tant que telles, aux conditions requises par le PCT en ce qui concerne la 
nouveaute et I'activite inventive. 



Probleme: 



Invention: 
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Concernant le point VII 

Irreaularites dans la demande intemationale 

Contrairement a ce qu'exige la regie 5.1 a) ii) PCT, la description n'indique pas 
I'etat de la technique anterieure pertinent expose dans le document US-A-5 594 
797 et ne cite pas ce document. 



Concernant le point VIII 

Observations relatives a la demande intemationale 

L'unique revendication independante 1 ne remplit les conditions de Particle 6 PCT 
relatives a la clarte pour les raisons suivantes: 

- le terme "le module ... en aval" est ambigu car il peut designer soit le dernier 
module de la pluralite de modules en serie soit, en accord avec la description, 
chaque module intermediate a partir du deuxieme et le dernier module de la serie 
de modules. s 

- I'expression "debute son operation des qu'une partie du resultat...est disponible" 
n'est pas claire car elle ne precise pas que, conformement a la description, 
chaque module aval commence a traiter des donnees disponibles issues de 
son module amont avant que ce dernier n'ait entierement acheve sesoalculs. 
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PATENT COOPERATION ^tATY 

PCT 

INTERNATIONAL PRELIMINARY EXAMINATION REPORT 

(PCT Article 36 and Rule 70) 



Applicant's or agent's file reference 
P-14-312-PCT 


irnD niDTurD ArTmxi SeeNotificationofTransmittaloflnternational Preliminary 
FOR FURTHER ACTION Examination Repoft (Fom PCT /IPEA/416) 


International application No. 
1 PCT/IBOO/01157 


International filing date {day/month/year) 
24 August 2000 (24.08.00) 


Priority date (day/month/year) 

30 August 1999 (30.08.99) 


International Patent Classification (IPC) or national classification and IPC 
H04L 9/00 


Applicant 


NAGRACARD SA 





1. This international preliminary examination report has been prepared by this International Preliminary Examining Authority 
and is transmitted to the applicant according to Article 36. 



2. This REPORT consists of a total of 



. sheets, including this cover sheet. 



[ 1 This re P ort ^ also accompanied by ANNEXES, i.e., sheets of the description, claims and/or drawings which have been 
amended and are the basis for this report and/or sheets containing rectifications made before this Authority (see Rule 
70. 16 and Section 607 of the Administrative Instructions under the PCT). 



These annexes consist of a total of 



sheets. 



This report contains indications relating to the following items: 
Basis of the report 
Priority 

Non-establishment of opinion with regard to novelty, inventive step and industrial applicability 
Lack of unity of invention 

Reasoned statement under Article 35(2) with regard to novelty, inventive step or industrial applicability 
citations and explanations supporting such statement 

Certain documents cited 

Certain defects in the international application 

Certain observations on the international application 



I 


12SJ 


II 


□ 


III 


□ 


IV 


□ 


V 




VI 


□ 


VII 




VIII 





Date of submission of the demand 

17 March 2001 (17.03.01) 



Name and mailing address of the IPEA/EP 



Facsimile No. 



Date of completion of this report 

07 December 2001 (07.12.2001) 



Authorized officer 



Telephone No. 
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INTERNATIONAL PRELIMINARY EXAMINATION REPORT 



International application No. 

PCT/IBOO/01157 



I. Basis of the report 



I. With regard to the elements of the international application:* 
j | the international application as originally filed 

[XI tne description: 

pages U9_ 

pages 

pages 



^ , as originally filed 
, filed with the demand 



, filed with the letter of 



the claims: 

pages 

pages 

pages 

pages 



1-10 



, as originally filed 

, as amended (together with any statement under Article 19 
, filed with the demand 



_ , filed with the letter of 



the drawings: 
pages 

pages 

pages 



1/2-2/2 



, as originally filed 

, filed with the demand 



filed with the letter of 



| | the sequence listing part of the description: 

pages 

pages 

pages 



, as originally filed 

. , filed with the demand 



. , filed with the letter of 



2. With regard to the language, all the elements marked above were available or furnished to this Authority in the language in which 
the international application was filed, unless otherwise indicated under this item. 

These elements were available or furnished to this Authority in the following language which is* 

□ the language of a translation furnished for the purposes of international search (under Rule 23. 1(b)). 

□ 

the language of publication of the international application (under Rule 48.3(b)). 

the language of the translation furnished for the purposes of international preliminary examination (under Rule 55 2 and/ 
or 55.3). 

3. With regard to any nucleotide and/or amino acid sequence disclosed in the international application, the international 
preliminary examination was carried out on the basis of the sequence listing: 



4. 



□ 
□ 
□ 
□ 
□ 

□ 

n 



contained in the international application in written form. 

filed together with the international application in computer readable form. 

furnished subsequently to this Authority in written form. 

furnished subsequently to this Authority in computer readable form. 

The statement that the subsequently furnished written sequence listing does not go beyond the disclosure in the 
international application as filed has been furnished. 

The statement that the information recorded in computer readable form is identical to the written sequence listing has 
been furnished. 

The amendments have resulted in the cancellation of: 

n the description, pages 

the claims, Nos. 



the drawings, sheets/fig . 



5. n This re P ort nas been established as if (some of) the amendments had not been made, since they have been considered to go 
beyond the disclosure as filed, as indicated in the Supplemental Box (Rule 70.2(c)).** 

* Replacement sheets which have been furnished to the receiving Office in response to an invitation under Article 14 are referred to 
in this report as "originally filed" and are not annexed to this report since they do not contain amendments (Rule 70 16 
and 70. 17). 

* Any replacement sheet containing such amendments must be referred to under item I and annexed to this report. 
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INTERNATIONAL 



LIMINARY EXAMINATION REPORT 



International application No. 
PCT/IB 00/01157 



V. Reasoned statement under Article 35(2) with regard to novelty, inventive step or industrial applicability; 
citations and explanations supporting such statement 



Statement 
Novelty (N) 

Inventive step (IS) 
Industrial applicability (IA) 



Claims 
Claims 

Claims 
Claims 

Claims 
Claims 



1-10 



1-10 



1-10 



YES 
NO 
YES 
NO 

YES 
NO 



Citations and explanations 

The invention relates to an encryption and decryption 
method using a plurality of encryption-decryption modules 
in a series. 



Prior art: 



US-A-5 594 797 describes such a system, wherein three 
encryption modules are chained; a downstream module 
processes the data encrypted by an upstream module after 
the upstream module has completed the processing. 



Problem: 



The most recent Differential Power Analysis attack 
techniques enable each module to be attacked separately by 
establishing the input or output conditions of each module 
and by estimating the presence of 1 or 0 in a given 
position of the encryption key of each module. 



Invention : 



In accordance with the features of Claim 1, an 
intermediate module does not begin calculating when the 
result of the upstream module is completed, but begins as 
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INTERNATIONAL WELIMINARY EXAMINATION REPORT 



International application No. 
PCT/IB 00/01157 



soon as only a portion of the information is available to 
be processed. Therefore, it is not possible for an 
outside observer to establish the input/output conditions 
of a module since output data of a module is not available 
as a whole. 

None of the other documents cited in the search report 
discloses or suggests such a method of partially 
interleaving the calculations of different cascade 
encryption modules. Claim 1 therefore meets the 
requirements of PCT Article 33. Claims 2 to 10 are 
dependent on Claim 1 and therefore also meet, as such, the 
PCT requirements of novelty and inventive step. 
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Tpternational application No. 
PCT/IB 00/01157 



VII. Certain defects in the international application 



The following defects in the form or contents of the international application have been noted: 



Contrary to the requirements of PCT Rule 5.1(a) (ii), the 
relevant prior art disclosed in document US-A-5 594 797 
has not been indicated in the description, nor has this 
document been cited. 
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International application No. 

INTERNATIONAL mCLIMINARY EXAMINATION REPORT ^npcT/IB 00/01157 



VIII. Certain observations on the international application 



The following observations on the clarity of the claims, description, and drawings or on the question whether the claims are fully 
supported by the description, are made: 

Independent Claim 1, which is the only independent claim, 
does not meet the clarity requirements of PCT Article 6, 
for the reasons discussed below. 



- The term "the downstream ... module" is ambiguous since 
it can refer to either the last module of the plurality of 
modules in series or, in accordance with the description, 
each intermediate module starting with the second and the 
last module in the series of modules . 



- The phrase "begins its operation as soon as a portion of 
the result ... is available" is not clear, since it does 
not specify that each downstream module begins processing 
available data generated from the upstream module before 
said upstream module has entirely finished its 
calculations, as stated in the description. 
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TRAITE DE COOPERATION EN MATIERE DE B 

PCT 



RAPPORT DE RECHERCHE INTERNATIONALE 
(article 18 et regies 43 et 44 du PCT) 



Reference du dossier du deposant ou 
du mandataire 

B-14-312-PCT 


POUR SUITE voir la notification de transmission du rapport de recherche internationale 
(formulaire PCT/ISA/220) et, le cas echeant, le point 5 ci-apres 

ADONNER 


Demande internationale n° 

PCT/IB 00/01157 


Date du depot international (jour/mois/annee) 

24/08/2000 


(Date de priorite (la plus ancienne) 
(jour/mois/annee) 

30/08/1999 


Deposant 

NAGRACARD SA et al . 



Le present rapport de recherche internationale, etabli par I'administration chargee de la recherche internationale, est transmis au 
deposant conformement a I' article 1 8. Une copie en est transmise au Bureau international. 
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1 . Base du rapport 

a. En ce qui concerne la langue, la recherche internationale a ete effectuee sur la base de la demande internationale dans la 
langue dans laquelle elle a ete deposee, sauf indication contraire donnee sous le meme point. 

| | la recherche internationale a ete effectuee sur la base d'une traduction de la demande internationale remise a ^administration, 

b. En ce qui concerne les sequences de nucleotides ou d'acides a minds divulguees dans la demande internationale (le cas echeant) 
la recherche internationale a ete effectuee sur la base du listage des sequences : 

| | contenu dans la demande internationale, sous forme ecrite. 

deposee avec la demande internationale, sous forme dechiffrable par ordinateur. 
remis ulterieurement a I'administration, sous forme ecrite. 
remis ulterieurement a I'administration, sous forme dechiffrable par ordinateur. 



2. 
3. 



□ 
□ 
□ 
□ 

□ 

□ 
□ 



La declaration, selon laquelle le listage des sequences presente par ecrit et fourni ulterieurement ne vas pas au-dela de la 
divulgation faite dans la demande telle que deposee, a ete fournie. 

La declaration, selon laquelle les informations enregistrees sous forme dechiffrable par ordinateur sont identiques a ceiles 
du listage des sequences presente par ecrit, a ete fournie. 

II a ^ estime que certalnes revendlcatlons ne pouvalent pas falre I'objet d'une recherche (voir le cadre I). 
II y a absence d'unlte* de Nnventlon (voir le cadre II). 



4. En ce qui concerne le tltre, 

|X] le texte est approuve tel qu'il a ete remis par le deposant. 
Q Le texte a ete etabli par I'administration et a la teneur suivante: 



En ce qui concerne I'abrege, 

[Y] le texte est approuve tel qu'il a ete remis par le deposant 

□ le texte (reproduit dans le cadre III) a ete etabli par I'administration conformement a ia regie 38.2b). Le deposant peut 
presenter des observations a I'administration dans un delai d'un mois a compter de la date d'expedition du present rapport 
de recherche internationale. 

La figure des desslns a publier avec I'abrege est la Figure n° J 



|X| suggeree par le deposant. Q Aucune des figures 

Q j parce que le deposant n'a pas suggere de figure. n est ^ P ublier - 

| | parce que cette figure caracterise mieux T invent ion. 
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On 

\fl (57) Abstract: When an encrypting-decrypting module is being used, there are various methods for determining the key or keys 
▼■H used by said module by analysing the module input or output data. To remedy this inconvenience, the inventive multiple module 
t ' method is characterised in that the downstream module starts its encrypting-decrypting operations as soon as part of the results of 
^ the upstream module is available. 



O 



(57) Abrege: Lors de V utilisation d un module d'enciyptage-decryptage, des methodes existent pour determiner la ou les cles uti- 
lisees par le module en analysant les donnees entrantes ou sortantes du module. Pour pallier ce defaut, la me'thode multi-modules 
proposee consiste a ce que le module aval debute ses operations d'encryptage-decryptage des qu'une partie des resultats du module 
amont est disponible. 
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En ce qui concerne les codes a deux lettres et autres abrevia- 
tions, se referer aux "Notes explicatives relatives aux codes et 
abreviatiorts" figurant au debut de chaque numero ordinaire de 
la Gazette du PCT. 
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METHODE D'ENCRYPTAGE MULTI -MODULES 

La presente invention conceme le domaine du chiffrement, ou encryptage, et 
du dechiffrage ou decryptage de donnees, et particulierement de donnees 
devant rester inaccessibles aux personnes ou appareils non autorises dans le 
5 cadre de systemes de television a peage. Dans de tels systemes, les 
donnees sont chiffrees dans un environnement securise, abritant des 
puissances de calcul importantes, et appele sous-systeme d'encodage, puis 
envoyees, par des moyens connus en soi, vers au moins un sous-systeme 
decentralise ou elles sont dechiffrees, generalement au moyen d'un IRD 
10 (Integrated Receiver Decoder) et avec Paide d'une carte a puce. Cette carte a 
puce et le sous-systeme decentralise qui coopere avec elle sont librement 
accessibles par une personne eventuellement non autorisee. 

II est connu de chamer divers moyens d'encryptage-decryptage dans un 
systeme de chiffrage-dechiffrage. Dans toute la suite, on appellera encryptage 
15 - decryptage un moyen de cryptage particulier utilise dans un systeme plus 
vaste de chiffrage-dechiffrage. 

On cherche depuis longtemps a optimiser le fonctionnement de ces systemes 
du triple point de vue de la rapidite, de la place occupee en memoire et de la 
securite. La rapidite s'entend au sens du temps necessaire pour dechiffrer les 
20 donnees regues. 

II est connu des systemes d'encryptage - decryptage a cles symetriques. Leur 
securite inherente peut etre qualifiee en fonction de plusieurs criteres. 

Le premier critere est celui de la securite physique, relative a la facilite ou a la 
difficulte d'une methode d'investigation par extraction de certains composants, 
25 suivie de leur remplacement eventuel par d'autres composants. Ces 
composants de remplacement, destines a renseigner la personne non 
autorisee sur la nature et le fonctionnement du systeme de chiffrage- 
dechiffrage, sont choisis par elle de maniere a ne pas etre detectes, ou le 
moins possible, par le reste du systeme. 
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Un second critere est celui de la securite systeme, dans le cadre de laquelle 
les attaques ne sont pas intrusives du point de vue physique mais font appel a 
de Tanalyse de type mathematique. Typiquement, ces attaques seront 
menees par des ordinateurs de grande puissance qui tenteront de casser les 
5 algorithmes et les codes de chiffrement. 

Des moyens d'encryptage - decryptage a cles symetriques sont par exemple 
les systemes appeles DES (Data Encryption Standard). Ces moyens, 
relativement anciens, n'offrent plus qu'une securite systeme et une securite 
physique toute relatives. C'est notamment pour cette raison que de plus en 
10 plus, le DES, dont les longueurs de cles sont trap petites pour satisfaire aux 
conditions de securite systeme, est remplace par des moyens d'encryptage - 
decryptage nouveaux ou avec des cles plus longues. De maniere generale, 
ces moyens a cles symetriques font appel a des algorithmes comprenant des 
rondes de chiffrement. 

15 D'autres strategies d'attaques sont appelees Simple Power Analysis, et 
Timing Analysis. Dans le Simple Power Analysis, on utilise le fait qu'un 
microprocesseur charge d'encrypter ou de decrypter des donnees est 
connecte a une source de tension (en general 5 Volts). Lorsqu'il est au repos, 
il est parcouru par un courant fixe d'intensite i. Quand il est actif, Tintensite 

20 instantanee i est fonction, non seulement des donnees entrantes, mais aussi 
de I'algorithme d'encryptage. Le Simple Power Analysis consiste a mesurer le 
courant i en fonction du temps. On peut de ce fait deduire le type d'algorithme 
que le microprocesseur effectue. 

De la meme maniere, la methode du Timing Analysis consiste a mesurer la 
25 duree de calcul en fonction d'un echantillon presente au module de 
decryptage. Ainsi, la relation entre Pechantillon presente et le temps de calcul 
du resultat permet de retrouver les parametres secrets de module de 
decryptage tel que la cle. Un tel systeme est decrit par exemple dans le 
document "Timing Attacks on Implementations of Diffie-Hellman, RSA, DSS, 
30 and Other Systems" publie par Paul Kocher, Cryptography Research, 870 
Market St, Suite 1088, San Francisco, CA-USA. 
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Pour ameliorer la securite clu systeme de chiffrement, il a ete propose des 
algorithmes a cle asymetriques, tels que les systemes dits RSA (Rivest, 
Shamir et Adleman). Ces systemes comprennent la generation d'une paire de 
cles appariees, Tune dite publique servant au chiffrement, et I'autre dite privee 
servant au dechiffrement. Ces algorithmes presentent un haut niveau de 
securite tant systeme que physique, lis sont par contre plus lents que les 
systemes traditionnels, surtout au stade du chiffrement. 

Les techniques d'attaque les plus recentes font appel a la notion dite DPA, de 
Panglais Differential Power Analysis. Ces methodes sont basees sur des 
supputations, verifiables au bout d'un grand nombre d'essais, sur la presence 
d'un 0 ou d'un 1 dans une position donnee de la cle de chiffrement. Elles sont 
quasiment non destructives, ce qui leur confere une bonne indetectabilite, et 
font appel a la fois a une composante d'intrusion physique et a une 
composante d'analyse mathematique. Leur fonctionnement rappelle les 
techniques d'investigation de champs petroliferes, ou une explosion de 
puissance connue est generee en surface et ou des ecouteurs et sondes, 
places a des distances egalement connues du lieu de ('explosion, permettent 
d'emettre des suppositions sur la composition stratigraphique du sous-sol 
sans trop avoir a le creuser, grace a la reflexion des ondes de choc par les 
limites de couches sedimentaires dans ce sous-sol. Les attaques DPA sont 
decrites notamment dans le § 2.1. du document "A Cautionary Note 
Regarding Evaluation of AES Candidates on Smart-Cards", publie le 1er 
fevrier 1999 par Suresh Chari, Charanjit Jutla, Josyula R. Rao et Pankaj 
Rohatgi, de TIBM TJ. Watson Research Center, Yorktown Heights, NY. 

L'exigence de devoir resister aux attaques DPA oblige a utiliser des systemes 
de brouillage dit "whitening", soit dans les informations a Tentree, soit en 
sortie d f un algorithme de chiffrement-dechiffrement La technique du 
whitening est decrite dans le § 3.5 du meme document precite. 

De plus le fait que les puissances de calcul soient limitees dans le sous- 
systeme decentralise d'un systeme de television a peage cree un probleme, 
qui n'a jamais encore ete resolu de fagon satisfaisante, pour effectuer dans 
une mesure suffisante le chaTnage decrit precedemment. 
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Le but de la presente invention est de disposer d'une methode d'encryptage- 
decrytage qui resiste aux methodes modernes d'investigation telles que 
decrites ci-dessus. 

Le but vise par la presente invention est atteint par la methode decrite dans la 
5 partie caracterisante de la revendication 1 . 

La particularity de la methode reside dans le fait qu'un module intermediate 
ne demarre pas lorsque le resultat du module precedent (ou amont) a termine 
mais debute des qu'une partie deja des informations sont disponibles. De ce 
fait, pour un observateur exterieur, il n'est pas possible d'etablir les conditions 
10 d'entree ou de sortie de ce module. 

Comme le dechiffrage intervient dans le sous-systeme decentralise cooperant 
avec la carte a puce, cette carte a puce n'abritant que des puissances de 
calcul relativement limitees par rapport au sous-systeme d'encodage, il est 
par exemple interessant d'utiliser une cle asymetrique publique, au 
15 fonctionnement relativement rapide, lors des dernieres etapes du dechiffrage. 
Ceci permet d'une part de preserver les caracteristiques d'invulnerabilite du 
systeme en sortie de processus, et d'autre part de concentrer la puissance de 
calcul, liee essentiellement au chiffrage a Taide de la cle privee, dans le sous- 
systeme d'encodage. 

20 II a ete decouvert qu'une securite supplementaire est procuree par la 
possibilite de concatener, ou d'imbriquer partiellement, deux moyens 
d'encryptage-decryptage qui se suivent sequentiellement. On entend par cette 
concatenation ou imbrication partielle, qui est une traduction de Tanglais 
"interleaving", le procede consistant a demarrer I'action du deuxieme moyen 

25 d'encryptage-decryptage sur les donnees a un moment ou le premier moyen 
d'encryptage-decryptage n'a pas encore termine son travail sur ces memes 
donnees. Ceci permet de masquer les donnees telles qu'elles resulteraient du 
travail du premier module et avant qu'elles ne soient soumises a Taction du 
deuxieme module. 
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La chainage peut demarrer des que des donnees calculees en sortie du 
premier module sont partiellement disponibles pour etre traitees par le second 
module. 

L'invention permet de se premunir contre les attaques precitees en combinant 
5 divers moyens d'encryptage-decryptage dans un systeme de chiffrage- 
dechiffrage, et en associant eventuellement une concatenation ou imbrication 
partielle a la sequence dans laquelle se suivent ces moyens. 

Dans une forme particuliere de realisation de l'invention, le systeme de 
chiffrage-dechiffrage comprend un sous-systeme d'encodage ou trois 
10 algorithmes sont utilises sequentiellement: 

a) un algorithme A1 asymetrique a cle privee d1. Cet algorithme A1 
effectue une signature sur des donnees en clair, representees par un 
message m, cette operation delivrant un premier cryptogramme c1 , au moyen 
d'operations mathematiques generalement notees dans la profession par la 

15 formule : c1 = m exposant d1 , modulo n1 . Dans cette formule, n1 fait partie de 
la cle publique de ralgorithme asymetrique Al, modulo represente Toperateur 
mathematique bien connu des congruences dans Pensemble des entiers 
relatifs, et d1 est la cle privee de ralgorithme A. 

b) un algorithme S symetrique utilisant une cle secrete K. Cet algorithme 
20 convertit le cryptogramme c1 en un cryptogramme c2. 

c) un algorithme A2 asymetrique a cle privee d2. Cet algorithme A2 
convertit le cryptogramme c2 en un cryptogramme c3, au moyen de 
Toperation mathematique notee, comme precedemment, par : c3 = c2 
exposant d2 mod n2, formule dans laquelle n2 fait partie de la cle publique de 

25 Talgorithme asymetrique A2, et d2 est la cle privee de ralgorithme A2 

Le cryptogramme c3 part du sous-systeme d'encodage et parvient au sous- 
systeme decentralise par des moyens connus en soi. Dans le cas de 
systemes de television a peage, il peut s'agir aussi bien de donnees video 
que de messages. 



-5- 



WO 01/17159 



# 



PCT/IB00/01157 



Le sous-systeme decentralise utilise, dans Tordre inverse du precedent, trois 
algorithrnes A1\ S' et A2\ Ces trois algorithmes font partie de trois moyens de 
cryptage-decryptage A1-A1', S-S' et A2-A2', repartis entre le sous-systeme 
d'encodage et le sous-systeme decentralise, et representant le systeme de 
5 chiffrage-dechiffrage. 



d) Palgorithme A2' effectue sur c3 une operation mathematique restituant 
c2 et notee: c2 = c3 exposant e2 mod n2. Dans cette formule, Pensemble 
constitue de e2 et n2 est la cle publique de Palgorithme asymetrique A2-A2'. 

e) Palgorithme symetrique S* symetrique utilisant la cle secrete K restitue 
10 le cryptogramme c1 . 

f) Palgorithme A1' asymetrique a cle publique e1, n1 retrouve m en 
effectuant Poperation mathematique notee: m = c1 exposant e1 mod n1. 

La concatenation, dans le sous-systeme decentralise, consiste a demarrer 
Petape de decodage e) alors que c2 n'a pas encore ete totalement restitue par 

15 Petape precedente d), et a demarrer Petape de decodage f) alors que c1 n'a 
pas ete totalement restitue par Petape e. L'avantage est de dejouer une 
attaque qui viserait par exemple d'abord a extraire, dans le sous-systeme 
decentralise, le cryptogramme d en fin d'etape e, pour le comparer avec les 
donnees en clair m, puis au moyen de c1 et de m d'attaquer ralgorithme A1\ 

20 puis de remonter la chame de codage de proche en proche. 

La concatenation n'est pas necessaire dans le sous-systeme d'encodage, qui 
est installe dans un environnement physique securise. Elle est par contre utile 
dans le sous-systeme decentralise. Dans le cas de la television a peage, NRD 
est en effet installe chez Tabonne et peut etre Tobjet des attaques du type 
25 predecrit. 



On congoit qu'une attaque d'une combinaison de trois algorithmes de 
decryptage A1\ S' et A2 1 concatenes a beaucoup moins de chances de 
reussir que si les cryptogrammes c1 et c2 sont integralement reconstitues 
entre chaque etape d), e) et f). Par ailleurs, le fait que les algorithmes A1* et 
.30 A2 1 soient utilises avec des cles publiques e1, n1 et e2, n2 fait que les 
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moyens de calcul necessaires dans le sous-systeme decentralise sont bien 
plus reduits que dans le sous-systeme d'encodage. 

A titre d'exemple et pour fixer les idees, les etapes a) et c) c'est-a-dire les 
etapes d'encryptage avec cles privees, sont 20 fois plus longues que les 
5 etapes d) et f) de decryptage avec cles publiques. 

Dans une forme particuliere de realisation de Pinvention, derivee de la 
precedente, les algorithmes A1 et A2 sont identiques de meme que leurs 
contreparties A1' et A2\ 

Dans une forme particuliere de realisation de I'invention, egalement derivee 
10 de la precedente, dans I'etape c) on utilise la cle publique e2, n2 de 
I'algorithme asymetrique A2 alors que dans Petape d) on decrypte le 
cryptogramme c3 avec la cle privee d2 de cet algorithme. Cette forme 
constitue une alternative possible lorsque les ressources du sous-systeme 
decentralise en puissance de calcul sont loin d'etre atteintes. 

15 Bien que les cartes a puces sont utilisees majoritairement pour le decryptage 
des donnees, il existe egalement des cartes a puces ayant les capacites 
necessaires pour effectuer des operations de cryptage. Dans ce cas, les 
attaques decrites plus haut vont se porter egalement sur ces cartes de 
cryptage qui fonctionnent hors d'endroits proteges tels qu'un centre de 

20 gestion. C'est pourquoi la methode selon Tinvention s'applique egalement aux 
operations de cryptage en serie c'est a dire que le module aval debute son 
operation de cryptage des qu'une partie des informations delivrees par le 
module amont sont disponibles. Ce procede a Tavantage d'imbriquer les 
differents modules de cryptage avec comme consequence que le resultat du 

25 module amont n'est pas disponible completement a un temps donne. De plus, 
le module en aval ne debute pas ses operations avec un resultat complet 
mais sur des parties ce qui rend impraticable d'interpreter le fonctionnement 
d'un module par rapport a un etat d'entree ou de sortie connu. 

La presente invention sera comprise plus en detail grace aux dessins 
30 suivants, pris a titre non limitatifs, dans lesquels: 
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la figure 1 represente les operations de cryptage 

la figure 2 represente les operations de decryptage 

la figure 3 represente une alternative a la methode de cryptage 

Sur la figure 1, un ensemble de donnees m est introduit dans la chaTne de 
5 cryptage. Un premier element A1 effectue une operation de cryptage en 
utilisant la cle dite privee composee de Pexposent d1 et du modulo n1. Le 
resultat de cette operation est represente par C1. Selon le mode de 
fonctionnement de Pinvention, des qu'une partie du resultat C1 est disponible, 
le module suivant debute son operation. Ce module suivant S effectue son 
10 operation de cryptage avec une cle secrete. Le resultat C2 des que 
partiellement disponible est transmis au module A2 pour la troisieme 
operation de cryptage utilisant la cle dite privee composee de Pexposant d2 et 
du modulo n2. Le resultat final, denomme ici C3 est pret pour etre transmis 
par des voies connues tels que voie hertzienne ou par cable. 

15 La figure 2 represente le systeme de decryptage compose des trois modules 
de decryptage A1\ S\ A2 1 similaires a ceux ayant servi a Pencryptage, mais 
ordonne inversement. Ainsi, Pon commence d'abord avec le module A2' qui 
effectue son operation de decryptage sur la base de la cle dite publique 
composees de Pexposant e2 et du modulo n2. De la meme maniere que pour 

20 Pencryptage, des qu'une partie du resultat C2 du module A2' est disponible, il 
est transmis au module S' pour la deuxieme operation de decryptage. Pour 
terminer le decryptage, le module AV effectue son operation sur la base de la 
cle dite publique composee de Pexposent e1 et du modulo n1 . 

Dans une forme particuliere de Pinvention, les cles des deux modules A1 et 
25 A2 sont identiques, c'est-a-dire que cote encryptage, d1=d2 et n1=n2. Par 
analogie, lors du decryptage, e1=e2 et n1=n2. Dans ce cas, on parle de la cle 
privee d, n et de la cle publique e, n. 

Dans une autre forme de Pinvention, telle qu'illustree aux figures 3 et 4, le 
module A2 utilise la cle dite publique a la place de la cle dite privee. Au 
30 moment de Pencryptage, la cle publique e2, n2 est utilisee par le module A2, 
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(voir figure 3) et lors du decryptage (voir figure 4), le module A2' utilise la cle 
privee d2, n2 pour operer. Bien que cette configuration presente une 
surcharge de travail a I'ensemble de decryptage, fertilisation d'une cle privee 
renforce la securite offerte par le module A2. 

5 L'exemple illustre aux figures 3 et 4 n'est pas restrictif pour d'autres 
combinaisons. Par exemple, il est possible de configurer le module A1 pour 
qu'il effectue I'operation d f encryptage avec la cle publique et le decryptage 
avec la cle privee. 
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II est egalement possible de remplacer le module d f encryptage-decryptage a 
cle secrete S par un module de type a cle asymetriques du meme type que 
les module A1 et A2. 
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REVEND1CATIONS 

1. Methode de cryptage et de decryptage utilisant plusieurs modules 
d'encryptage-decryptage en serie, caracterisee en ce que le module 
d'encryptage-decryptage en aval debute son operation des qu'une partie du 
resultat du module d'encryptage-decryptage amont est disponible. 

2. Methode selon la revendication 1 , caracterisee en ce que le module de 
decryptage en aval debute son operation de decryptage des qu'une partie du 
resultat du module de decryptage amont est disponible. 

3. Methode selon la revendication 1, caracterisee en ce que le module 
d'encryptage en aval debute son operation de cryptage des qu'une partie du 
resultat du module amont est disponible. 

4. Methode selon les revendication 1 a 3, caracterisee en ce qu'elle met 
en oeuvre trois modules (A1, S, A2) , le module central (S) etant de type a cle 
symetrique secrete (k). 

5. Methode selon la revendication precedente, caracterisee en ce que le 
premier module (A1) et le dernier module (A2) pour I'encryptage et le premier 
module (A2) et le dernier module (A1 ) pour le decryptage sont du type RSA a 
cles asymetriques soit avec une cle privee et une cle publique. 

6. Methode selon la revendication precedente, caracterisee en ce que les 
deux modules (A1, A2) utilisent la cle dite privee (d,n; dl.n1; d2,n2) pour 
I'encryptage et la cle dite publique (e, n; e1,n1; e2,n2) pour le decryptage. 

7. Methode selon la revendication precedente, caracterisee en ce que les 
deux modules (A1, A2) utilisent un meme jeu de cle privee (d, n) et publique 
(e, n). 
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8. Methode selon la revendication 6, caracterisee en ce que les deux 
modules (A1, A2) utilisent un jeu different de cles privee (d1,n1; d2,n2) et 
publique (e1 , n1 ; e2,n2). 

9. Methode selon la revendication 5, caracterisee en ce que lors de 
Tencryptage, le dernier module (A2) utilise la cle dite publique (e2,n2) et lors 
du decryptage, le premier module (A2) utilise la cle dite privee (d2,n2). 

10. Methode selon les revendications 1 a 3, caracterisee en ce qu'elle met 
en ceuvre trois modules (A1, A, A2) d'encryptage-decryptage a cles 
asymetriques. 
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